Политика конфиденциальности

Главная Политика конфидециальности

Политика обработки и защиты персональных данных пациентов и их представителей

Главная Политика конфиденциальности

Политика обработки и защиты персональных данных пациентов и их представителей

1. Назначение


1.1 Настоящее Положение о защите персональных данных (далее - Положение) определяет политику ООО "Эвентум Клиник" (далее Оператор) в области обработки персональных данных, основные причины, порядок и условия обработки персональных данных, содержит сведения о реализуемых мерах по их защите, а также позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации в отношении:

  • лица, получающего медицинскую помощь на основании договора на оказание платных медицинских услуг (далее Пациент);
  • лица, представляющего интересы Пациента на основании закона, решения уполномоченного органа, судебного акта, доверенности и иных документов, дающих право гражданину представлять интересы Пациента в медицинской организации при получении платных медицинских услуг (далее Представитель), вместе далее по тексту настоящего Положения именуемых Субъект ПД или Субъекты ПД.



1.2. По всем вопросам, касающимся обработки персональных данных, субъекты персональных данных могут обратиться по телефону Оператора (846) 255-00-07 и на электронную почту Оператора по адресу: info@eventum-clinic.ru.

2. Нормативные ссылки


Принята всенародным голосованием 12.12.1993 г. - Конституция Российской Федерации;

Федеральный закон № 152-ФЗ от 27.07.2006 г. - О персональных данных;

Федеральный закон № 51-ФЗ от 30.11.1994 г. - Гражданский кодекс РФ Часть 1;

Федеральный закон № 14-ФЗ от 26.01.1996 г. - Гражданский кодекс РФ Часть 2;

Федеральный закон № 146-ФЗ от 26.11.2001 г. - Гражданский кодекс РФ Часть 3;

Федеральный закон № 230-ФЗ от 18.12.2006 г. - Гражданский кодекс РФ Часть 4;

Федеральный закон № 195-ФЗ от 30.12.2001 г. - Кодекс об административных правонарушениях РФ;

Федеральный закон № 63-ФЗ от 13.06.1996 г. - Уголовный кодекс РФ;

Федеральный закон № 149-ФЗ от 27.07.2006 г. - Об информации, информационных технологиях и о защите информации;

Закон Российской Федерации № 2300-1 от 07.09.1992 г. - О защите прав потребителей;

Постановление Правительства РФ № 687 от 15.09.2008 г. - Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;

Постановление Правительства РФ № 1119 от 01.11.2012 г. - Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

Постановление Правительства РФ № 211 от 21.03.2012 г. - Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

Основанием для обработки персональных данных являются:

Федеральный закон № 323-ФЗ от 21.11.2011 г. - Об основах охраны здоровья граждан в Российской Федерации;

Федеральный закон № 149-ФЗ от 27.07.2006 г. - Об информации, информационных технологиях и о защите информации;

Федеральный закон № 14-ФЗ от 08.02.1999 г. - Об обществах с ограниченной ответственностью;

Приказ Минздрава России № 1051н от 12.11.2021 г. - Об утверждении Порядка дачи информированного добровольного согласия на медицинское вмешательство и отказа от медицинского вмешательства;

Постановление Правительства РФ № 1006 от 04.10.2012 г. - Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг;

Указ Президента РФ № 188 от 06.03.1997 г. - Об утверждении Правил отпуска лекарственных препаратов для медицинского применения аптечными организациями;

Приказ Минздрава РФ от 30 декабря 2014 г., № 956н - Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет»;

Положение Банка России  № 262-П от 19.08.2004 г. - Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 июля 2020 г. № ОП-П24-070-19433 - Разъяснения Министерства цифрового развития, связи и массовых коммуникаций РФ о некоторых нормах Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

Лицензия на осуществление Оператором медицинской деятельности;

Согласия субъекта персональных данных на обработку, распространение его персональных данных.

Основанием для обработки персональных данных могут являться иные нормативные правовые акты, прямо в настоящем Положении не упомянутые, но предусматривающие нормы и требования, подлежащие соблюдению при обработке персональных данных.

3. Термины и определения


Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, персональных данных;

Персональные данные, разрешенные субъектом персональных данных для распространения - Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаем, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их в обработку информационных технологий и технических средств;

Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

Персональные данные, сделанные общедоступными субъектом персональных данных - персональные данные, доступ неограниченного круга лиц к которым предоставлен самим субъектом персональных данных либо по его просьбе;

Предоставление персональных данных - действия, направленные на рУгрозы безопасности персональных данныхаскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4. Требования, предъявляемые Оператором к обеспечению режима конфиденциальности и защиты персональных данных


4.1. Положение является обязательным для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным, и действует в отношении всех персональных данных, которые Оператор может получить от Субъекта персональных данных.

4.2. Положение подлежит обязательному опубликованию на официальном сайте ООО «Эвентум Клиник» www.eventum-clinic.ru и должно быть размещено на информационном стенде Клиники не позднее 5 (пяти) календарных дней с момента его утверждения.

4.3. Ознакомление Субъекта ПД с настоящим Положением и дача согласия на обработку и/или распространение персональных данных осуществляется в следующем порядке:

  • путем собственноручного подписания Согласия на обработку персональных данных по форме Ф-001-ПЛЖ-002 или Ф-002-ПЛЖ-002. В случае необходимости дачи согласия на распространение персональных данных подписывается Ф-003-ПЛЖ-002;
  • путем проставления галочки (нажатия кнопки «Согласен», «Принимаю» и пр.) в соответствующем окне, расположенном на официальном сайте Оператора, указанном в п. 4.2. настоящего Положения, при использовании сервиса Онлайн-оплаты;
  • путем совершения конклюдентных действий, а именно:

      - вход в помещение после прочтения уведомления, размещенного при входе в клинику, о том, что в клинике ведется видеонаблюдение;


      - продолжение приема после ознакомления с уведомлением о том, что в целях контроля качества оказания медицинской помощи в кабинете ведется аудиозапись.



ВАЖНО: Подпись субъекта ПД в форме Согласия на обработку персональных данных, или совершение платежа посредством сервиса Онлайн-оплаты, или вход посетителя в помещение Оператора означает ознакомление Субъекта ПД с настоящим Положением и условиями обработки персональных данных Оператором.

5. Принципы обработки персональных данных

  • Обработка персональных данных осуществляется на законной и справедливой основе;
  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

6. Цель обработки персональных данных


Целью обработки персональных данных является оказание населению платных медицинских услуг в соответствии с Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

Также Оператор имеет право направлять Субъекту ПД уведомления о новых продуктах, услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@eventum-clinic.ru с пометкой «Отказ от уведомлений о новых продуктах, услугах и специальных предложениях».

7. Обработка персональных данных


7.1 Перечень персональных данных, обрабатываемых оператором

  • Фамилия, имя, отчество;
  • Дата рождения;
  • Реквизиты документа, удостоверяющего личность;
  • Реквизиты документа, дающего право на представление интересов Пациента;
  • Адрес регистрации и места пребывания;
  • Номера телефонов;
  • Адреса электронной почты;
  • Данные о состоянии здоровья, имеющихся заболеваниях и назначенном лечении;
  • Изображение (фотография) «до» и «после» медицинских вмешательств;
  • Изображения с камер видеонаблюдения, осуществляющих запись голоса и изображения;
  • Аудиозапись голоса пациента;
  • Файлы cookie.



7.2 Документы, содержащие персональные данные создаются в процессе:

  • Заполнения анкеты;
  • Подписания договора на оказание платных медицинских услуг;
  • Заполнения лечащим врачом медицинской карты амбулаторного больного;
  • Создания иных документов в процессе получения медицинских услуг;
  • Заполнения форм обратной связи и форм сервиса Онлайн-оплаты на официальном сайте Оператора



7.3 Хранение персональных данных

  • Хранение персональных данных осуществляется на бумажных носителях в медицинских картах, которые хранятся в запираемом шкафу – картотеке. В электронном виде персональные данные обрабатываются и хранятся в программе «1БИТ «Управление медицинским центром»;
  • Персональные данные Пользователей сервисов, размещенных на официальном сайте, обрабатываются в системе «1С БИТРИКС» и хранятся в хостинговом пространстве «Интернет хостинг центр» (www.ihc.ru);
  • Персональные данные пациентов и посетителей Оператора, полученные при помощи камер видеонаблюдения, хранятся на сервере ПАО «Ростелеком» в течение 30 календарных дней;
  • Персональные данные пациентов и посетителей Оператора, полученные во время проведения аудиозаписи на приеме у специалиста, хранятся на сервере Оператора;
  • Документы, содержащие персональные данные, подлежащие архивации, сдаются в архив в соответствии с установленными законом требованиями.



7.4 Обязанности работника

Работник Оператора, имеющий доступ к персональным данным Субъекта ПД в связи с исполнением своих трудовых обязанностей, должен:

  • Принимать необходимые организационные и технические меры для защиты персональной информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц;
  • Обеспечить отсутствие на своем рабочем столе каких-либо документов, содержащих персональные данные («политика чистых столов») при отсутствии Работника на своем рабочем месте.

8. Права и обязанности Субъекта персональных данных


Субъект ПД обязан предоставить Оператору достоверные сведения о себе.

Субъект ПД имеет право:

  • Знать о правовых основаниях и целях обработки ПД;
  • Знать о способах обработки ПД;
  • Узнавать сведения о лицах, которые имеют доступ к ПД или о лицах, которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
  • Знать сроки обработки персональных данных;
  • Направлять Оператору запросы и обращения, обжаловать действия или бездействие Оператора;
  • Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • Требовать предоставления перечня своих персональных данных, обрабатываемых Оператором, и источник их получения;
  • Требовать исключения или исправления неверных, или неполных персональных данных;
  • Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • В любой момент отказаться от нахождения в помещении Оператора.

9. Обязанности оператора


Оператор при обработке персональных данных обязан:

  • Назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, а также определить круг лиц, имеющих доступ к персональным данным в силу исполнения ими своих должностных обязанностей;
  • При сборе персональных данных предоставить Субъекту ПД полную информацию об их обработке;
  • В случаях, если персональные данные были получены не от Субъекта ПД, уведомить Субъекта о получении его персональных данных;
  • При отказе Субъекта от предоставления персональных данных и/или согласия на их обработку, разъяснить последствия такого отказа;
  • Опубликовать или иным образом обеспечить неограниченный доступ к настоящему Положению, определяющему политику Оператора в отношении защиты ПД при их обработке;
  • Принимать необходимые правовые, организационные, технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
  • Давать ответы на запросы и обращения Субъектов ПД, их представителей и/или уполномоченного органа по защите прав Субъектов ПД;
  • Ответ предоставляется в течении 10 рабочих дней с момента получения Оператором соответствующего запроса. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое Оператор должен направить в адрес лица, направившего запрос. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное;
  • Не передавать персональные данные субъектов третьим лицам без их согласия, за исключением случаев, предусмотренных Федеральными законами Российской Федерации;
  • В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
  • В срок, не превышающий 24 часа с момента происшествия уведомить Роскомнадзор о компрометации (утечке) персональных данных;
  • В течение 72 часов с момента происшествия провести внутреннее расследование причин компрометации (утечки) персональных данных и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии);
  • На сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений (https://pd.rkn.gov.ru/incidents/form/)

10. Порядок, условия и сроки обработки персональных данных


Доступ лиц не уполномоченных производить обработку персональных данных к документам на бумажном носителе и электронным базам данных, содержащих персональные данные, запрещен.

Исходя из положений п. 2 ст. 6 Федерального закона № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется только с согласия Субъекта персональных данных. Все персональные данные о Субъекте ПД Оператор может и должен получать от него самого либо его законного (уполномоченного) представителя.

Оператор не имеет права получать и обрабатывать персональные данные, содержащие сведения о политических, религиозных и иных убеждениях субъекта персональных данных, его частной жизни, равно как и персональные данные о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

Срок обработки и хранения персональных данных лиц, получающих медицинскую помощь по договору на оказание платных медицинских услуг, составляет 25 лет. Указанный срок установлен нормативными правовыми актами Российской Федерации, регулирующими условия и сроки хранения медицинской документации.

11. Внутренний доступ к персональным данным и их защита


Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только завладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа.

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и Работниками Оператора.

  • Право доступа к персональным данным субъектов имеют только те работники Оператора, которым в связи с выполнением своей трудовой функции необходимо иметь доступ к персональным данным субъектов.
  • Перечень должностей, имеющих доступ к персональным данным Субъектов ПД, утверждается Приказом по общей деятельности Оператора, который составляется по шаблону согласно Приложению № 1, являющемся неотъемлемой частью настоящего Положения;
  • В случае внесения изменений в Перечень должностей, имеющих доступ к персональным данным, издается новый приказ;
  • Работники Оператора, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций. Доступ к персональным данным Субъекта ПД других Работников Оператора, не имеющих надлежащим образом оформленного доступа, запрещен.



11.1 Процедура оформления доступа к персональным данным субъекта:

  • Ознакомление Работника Оператора, получающего доступ к персональным данным, под подпись, с настоящим Положением, а также с иными локальными нормативными актами (приказы, распоряжения, инструкции и т.п.), регулирующими политику безопасности Оператора при обработке и защите персональных данных;
  • Истребование от третьих лиц, получающих доступ к персональным данным, письменного обязательства о соблюдении конфиденциальности персональных данных субъектов и соблюдении правил их обработки;
  • Свободный доступ Субъекта персональных данных к своим персональным данным, включая право на получение копия любой записи (за исключением случаев, предусмотренных федеральным законом), содержащей его персональные данные, имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.



11.2 Обеспечение внутренней защиты

Для обеспечение внутренней защиты персональных данных субъектов, чьи персональные данные обрабатываются Оператором, необходимо соблюдение следующих мер:

  • Ограничение и регламентация состава Работников Оператора, функциональные обязанности которых требуют владения конфиденциальной информацией;
  • Строгое избирательное и обоснованное распределение документов и информации между Работниками Оператора;
  • Рациональное размещение рабочих мест Работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
  • Знание Работниками требований организационных документов Оператора, касающихся защиты информации и сохранению всех видов тайн;
  • Наличие необходимых условий в помещениях Оператора для работы с конфиденциальными документами и базами данных;
  • Определение и регламентация состава Работников Оператора, имеющих право доступа к персональным данным;
  • Организация порядка уничтожения информации;
  • Своевременное выявление нарушений требований разрешительной системы доступа к персональным данным;
  • Воспитательная и разъяснительная работа с Работниками Оператора по предупреждению ситуаций, связанных с угрозой утраты персональных данных при работе с документами, содержащими персональные данные;
  • Ограничение Оператором числа лиц, имеющих доступ к документам, содержащим персональные данные субъектов, которые хранятся на электронных носителях, обеспечивается политикой конфиденциальности и разграничением доступов к информации;
  • Разделение документированной информации, в зависимости от содержащихся в ней сведений, на соответствующие группы, на которые распространяется правовая охрана и в зависимости от категории, на документах должен быть проставлен соответствующий гриф ограничения доступа.

12. Доступ третьих лиц к персональным данным и их защита от внешних факторов


12.1 Доступ уполномоченных органов к персональным данным

Предоставление персональных данных уполномоченным органам возможно исключительно в целях реализации ими норм Федеральных законов:

  • На основании надлежащим образом оформленного официального письменного запроса;
  • На основании документации, направленной Оператором, в соответствии с требованиями законодательства РФ в целях проведения профилактических мероприятий, выявления и регистрации в медицинской организации случаев возникновения инфекционных и иных болезней, связанных с оказанием медицинской помощи.



Федеральные и региональные органы исполнительной власти имеют право на получение доступа к персональным данным Субъектов ПД только в сфере своей компетенции в соответствии с законодательством Российской Федерации.

12.2 Направление персональных данных по заявлению Субъекта ПД

Организации, в которые субъект персональных данных может осуществлять перечисление денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только при наличии его письменного согласия.

Документы, содержащие персональные данные субъекта, по его заявлению могут быть отправлены через организацию почтовой связи при условии соблюдения требований законодательства РФ, соблюдение которых необходимо при такой отправке.

Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные Субъектов ПД, третьей стороне без письменного согласия самого субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

12.3 Передача третьим лицам и распространение персональных данных

В качестве третьих лиц, которым могут быть переданы персональные данные пациента, выступают сторонние медицинские организации, оказывающие медицинскую помощь Субъекту ПД в случае перенаправления его Оператором для проведения медицинского вмешательства в другую медицинскую организацию на основании заключенного Оператором и сторонней медицинской организацией агентского договора. 

Передача персональных данных осуществляется с соблюдением мер, обеспечивающих их защиту, на основании подписанных Субъектом ПД Согласий по форме Ф-001-ПЛЖ-002 и Ф-002-ПЛЖ-002.

Обработка персональных данных, разрешенных Субъектом ПД для распространения, может осуществляться не основании соответствующего Согласия Субъекта ПД по форме Ф-003-ПЛЖ-002.

Согласие содержит перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Субъектом ПД для распространения.

В согласии на обработку персональных данных, разрешенных Субъектом ПД для распространения, Субъект ПД вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператором в установлении Субъектом ПД запретов и условий, предусмотренных статей 10.1 Федерального закона «О персональных данных», не допускается.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных Субъектом ПД для распространения, должна быть прекращена в любое время по требованию Субъекта ПД. Данное требование должно включат в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД, а также перечень персональных данных, обработка которых подлежит прекращению.

Действие согласия на обработку персональных данных, разрешенных Субъектом ПД для распространения, прекращается с момента получения Оператором соответствующего требования.

12.4. Защита конфиденциальной информации

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ или завладеть информацией.

Под посторонним лицом понимается любое лицо, не имеющее права доступа к персональным данным субъектов, оформленного в установленном настоящим Положением порядке. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов структурных подразделений, в которых осуществляется обработка персональных данных.

Для обеспечения внешней защиты персональных данных реализовано разграничение прав доступа к информации, а также разработаны и внедрены следующие меры безопасности:

  • Действует порядок приема, учета, и контроля деятельности посетителей;
  • Действует защита электронной системы хранения информации путем разграничение доступов и выдачи паролей по категории доступа;
  • Имеются технические средства охраны, пожарной сигнализации;
  • Помещения оснащены системой тревожной сигнализации;
  • Выполняются в полном объеме, установленные законом, требования к защите информации при заполнении медицинской документации;
  • При необходимости и наличии такой возможности персональные данные обезличиваются;
  • В целях обеспечения безопасности в помещениях ведется видеонаблюдение;
  • В целях контроля качества оказания медицинской помощи в медицинских кабинетах ведется аудиозапись.



Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Оператора, в порядке, установленном законодательством РФ.

13. Ответственность Оператора за разглашение конфиденциальной информации

  • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъектов ПД, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами;
  • Работник Оператора, допустивший разглашение персональных данных Субъекта ПД (передача их посторонним лицам, в том числе, Работникам Оператора, не имеющим к ним доступ), их публичное раскрытие, утрату документов и иных носителей, содержащих персональные данные Субъекта ПД, а также совершивший иные нарушения обязанностей по защите и обработке персональных данных, установленных настоящим Положением, организационными документами Оператора (приказами, распоряжениями, процедурами и пр.), должен быть привлечен к дисциплинарной ответственности. Данное нарушение приравнивается к грубому нарушению Работником своих трудовых обязанностей.

14. Порядок блокирования и/или уничтожения (обезличивания) персональных данных


14.1 Блокирование (временное прекращение обработки ПД) персональных данных

  • В случае выявления неточных персональных данных, а также в случае выявления неправомерной обработки персональных данных при обращении Субъекта ПД или его представителя либо по запросу Субъекта ПД или его представителя, либо уполномоченного органа по  защите прав Субъектов ПД Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту ПД, не позднее трех календарных дней с момента такого обращения или получения указанного запроса на период проверки, прекращает неправомерную обработку персональных данных, если блокирование персональных данных не нарушает права и законные интересы Субъекта ПД или третьих лиц;
  • В случае подтверждения факта неточности или неправомерности обработки персональных данных Оператор на основании сведений, представленных Субъектом ПД или его представителем либо уполномоченным органом по защите прав Субъектов ПД, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных;
  • Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;
  • В случае если обеспечить точность и правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неточной и неправомерной обработки персональных данных, уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет Субъекта ПД или его представителя, а в случае, если обращение Субъекта ПД или его представителя либо запрос уполномоченного органа по защите прав Субъектов ПД были направлены уполномоченным органом по защите прав Субъектов ПД, также указанный орган.



14.2. Уничтожение (обезличивание) персональных данных

Уничтожение документов, содержащих персональные данные, должно производиться в соответствии с общим порядком уничтожения документов:

  • В случае отзыва Субъектом ПД согласия на обработку его персональных данных, в срок, не превышающий 30 (тридцать) дней с даты поступления указанного требования, Оператор прекращает и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает эти персональные данные;
  • В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор блокирует такие персональные данные и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;
  • В случаях, отдельно предусмотренных действующим федеральным законодательством, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку ПД, документы, содержащие персональные данные Субъектов ПД могут быть обезличены и помещены в архив (электронный или документарный).
  • В случае отзыва Субъектом ПД согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» (п. 2. ст. 9. Закона № 152-ФЗ) за исключением передачи (распространения, предоставления доступа) персональных данных, которая должна быть прекращена немедленно;
  • Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.



14.3. Ответственные лица

Ответственным за уничтожение персональных данных является лицо, назначенное Приказом руководителя Оператора за организацию обработки и обеспечение безопасности персональных данных.

При наступлении любого из событий, повлекших за собой необходимость уничтожения персональных данных, лицо ответственное за организацию обработки и обеспечение безопасности персональных данных обязано:

  • Принять меры к уничтожению персональных данных;
  • Оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и предоставить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение руководителю Оператора;
  • В случае необходимости уведомлять об уничтожении персональных данных Субъекта ПД и/или его представителя, а также уполномоченный орган.

15. Заключительные положения

  • Субъект ПД может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@eventum-clinic.ru.
  • В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
  • Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://eventum-clinic.ru/privacy-policy